Campanha de malware para WordPress infetou milhares de sites desde 2017
De forma regular, sites baseados em WordPress podem ser vítimas dos mais variados ataques, que podem comprometer a segurança e os dados dos utilizadores. Na maioria das vezes, estes ataques ocorrem porque se encontram em utilização plugins ou conteúdos desatualizados e com falhas.
Isto é particularmente sentido em plugins, que tendem a ser uma das portas de entrada para possíveis ataques. E de acordo com os investigadores da empresa de segurança Securi, foi recentemente descoberta uma campanha de malware, focada para sites WordPress, que pode ter afetado mais de um milhão de sites diferentes.
De acordo com os investigadores, a campanha é conhecida como Balad Injector, e pode ter-se encontrado ativa desde 2017. A mesma foca-se em explorar todo o género de falhas que existam sobre plugins no WordPress, e quando identifica as mesmas, tenta obter acesso ao site para apresentar conteúdos maliciosos ou redirecionar os utilizadores para sites de casinos online e outros similares.
A campanha não se foca numa falha em particular, mas sim em várias. O objetivo será tentar descobrir falhas que existam sobre plugins desatualizados, explorando várias possibilidades para as mesmas.
A maioria dos sites afetados são depois usados para o reencaminhamento dos utilizadores para plataforma de terceiros, sites de afiliados ou de casinos online. Os conteúdos do site podem ainda ser modificados para apresentar mensagens maliciosas, enganando os possíveis visitantes.
Se explorada uma falha, esta campanha também se foca em tentar obter dados sensíveis de outros conteúdos dentro da instalação, como é o caso de registos de erros, backups e outros conteúdos.
Por fim, quando o ataque é realizado com sucesso, este tenta também instalar um backdoor no site para permitir o acesso futuro, e até mesmo caso os conteúdos sejam removidos, o backdoor permanece oculto para permitir acessos remotos futuros para voltar a infetar o site.
Como sempre, a principal recomendação para prevenir ataques desta campanha passa por manter os plugins de um site atualizados e evitar usar plugins que não sejam necessários – e que podem sempre abrir portas de entrada para ataques.